爱沙尼亚AI智能体数字身份制度体系探索

随着AI智能体（AI Agent）快速发展，对能够自主执行任务、调用系统资源并代表个人或机构开展业务活动的AI系统，如何进行身份认证、权限管理和责任追溯，成为当下数字治理的重要议题。

2026年6月17日，在爱沙尼亚总理倡议的Eesti.ai咨询委员会第二次会议上，委员会同意推进建立AI智能体数字身份（AI ID）制度，并获得政府支持。根据政府公布的提案，委托授权范围内运行的AI系统可在现有国家数字身份体系基础上获得政府认可的数字身份，爱沙尼亚法律框架赋予其明确的权利、权限和责任，拥有数字身份的AI系统能够在限定授权范围内代表个人、企业或组织开展数字活动。这是全球首次尝试将AI智能体纳入国家数字身份体系，也是将密码支撑的数字身份机制拓展至智能主体的重要探索，对未来数字身份体系建设、可信身份认证和人工智能治理具有重要借鉴意义。

目前，该提案处于公众咨询阶段，相关立法预计于2026年底启动。若最终通过，爱沙尼亚将成为全球首个建立AI智能体国家数字身份制度的国家。本期简报对爱沙尼亚AI数字身份提案主要内容进行整理，以供参考。

一、爱沙尼亚数字身份体系基础

自2000年起，爱沙尼亚逐步建立全国统一电子身份体系，并通过立法赋予数字签名与手写签名同等法律效力。2001年上线的X-Road数据交换平台连接政府部门、金融机构、医疗机构及企业，实现各类政务和公共服务数据安全共享。爱沙尼亚超过99%的公共服务可在线办理，全国电子身份已广泛应用于电子政务、远程医疗、网上报税、银行服务和电子投票等5000余项数字服务。

在此基础上，爱沙尼亚于2014年推出电子居民（e-Residency）计划，向全球非居民发放数字身份，使其能够远程注册企业、办理税务和开展跨境数字业务。电子居民计划已覆盖全球100多个国家和地区，进一步验证了数字身份与实体国籍、物理居住地相分离的治理模式。

随着AI智能体逐步参与采购、金融交易、行政审批、客户服务等业务流程，传统以自然人为核心的数字身份体系开始面临新的挑战。爱沙尼亚政府认为，需要建立一种能够识别AI主体、限定其权限并实现全过程可审计的新型身份机制，因此提出将AI智能体纳入国家数字身份体系。

二、AI数字身份拟建立的管理机制

根据框架提案，AI数字身份并非赋予AI独立法律人格，而是在现有数字身份体系下建立一种具有有限法律能力的新型数字身份。

（一）建立AI智能体专属数字身份

AI数字身份由部署AI智能体的个人、企业或政府机构申请，并与具体AI系统进行唯一绑定。身份绑定过程中，将结合AI模型代码、系统参数、运行边界等信息进行密码学认证，确保数字身份仅对应特定AI智能体，避免身份冒用或跨系统使用。

（二）赋予有限法律行为能力

获得数字身份后，AI智能体可在授权范围内开展数字活动，例如签订合同、访问政府服务接口（API）、处理数字资产以及办理指定业务等。与自然人不同，AI智能体并不具备完全法律人格，其所有行为均须限定在事先设定的授权范围内，最终法律责任仍由授权主体承担，从而兼顾AI自主运行能力与责任可追溯要求。

（三）实行全过程透明管理

提案要求所有持数字身份的AI智能体必须在与个人、企业和政府机构交互过程中主动表明自身属于AI系统。同时，每个AI智能体数字身份均包含机器可识别的“能力清单”（Capability Manifest），明确规定其可执行事项、数据访问权限、资金使用额度及运行期限等内容。一旦AI智能体超出授权范围开展活动，相关行为将在密码学层面被认定为无效，并为监管部门提供技术验证依据。

三、数字身份成为AI治理的重要技术路径

爱沙尼亚提出AI数字身份提案，既基于本国数字政府发展基础，也契合当前国际AI治理的发展方向。近年来，AI智能体逐渐能够独立调用工具、完成复杂业务流程，国际社会开始更加关注AI系统的身份认证、权限控制和责任归属问题。

2024年正式生效的欧盟《人工智能法案》（AI Act）提出，高风险AI系统应满足透明性、可追溯性和责任管理等要求，为AI身份治理提供了基本制度框架。与此同时，联合国《全球数字契约》、欧洲委员会《人工智能与人权框架公约》等国际文件也提出，应建立适应自主智能系统发展的治理机制，但均未明确赋予AI法律人格。

与国际社会仍围绕AI法律人格开展理论讨论不同，爱沙尼亚更强调数字身份的治理功能。该提案从现实需求出发，认为随着AI智能体已经能够参与采购、保险理赔、供应链管理、金融交易等活动，法律体系需要建立能够识别AI主体、限定权限范围并实现责任追溯的身份机制。利用现有数字身份体系扩展AI主体身份，相比重新建立一套监管体系，成本更低，也更容易与现有数字政府平台实现兼容。

四、AI数字身份体系面临的法律和安全挑战

尽管提案具有较强创新性，但仍存在若干有待解决的问题。

一是法律责任界定仍需进一步完善。当AI智能体超出授权范围开展活动时，即便系统可以通过密码学机制认定相关操作无效，但违规行为已经产生的法律后果如何认定、责任如何分配，仍需通过立法进一步明确。

二是跨境互认问题尚未解决。AI数字身份属于爱沙尼亚国家数字身份体系的一部分，其在其他国家是否具有法律效力，目前尚无统一规则，这将影响未来跨境AI智能体业务的发展。

三是数字身份系统自身安全面临新的挑战。AI智能体身份与密码凭证深度绑定，一旦底层身份凭证遭受攻击，攻击者可能伪造AI智能体身份或冒充合法代理开展大规模自动化活动，因此数字身份基础设施本身将成为重要保护对象。

此外，隐私保护也是外界关注的重点。目前提案要求AI智能体主动标识自身身份，但对于公众是否有权拒绝与AI智能体互动、AI智能体收集的数据如何适用《通用数据保护条例》（GDPR）等问题，仍缺乏明确规定。欧洲数据保护监督机构表示，将在后续立法过程中持续关注相关制度设计。

五、结语

爱沙尼亚此次提出AI智能体数字身份提案，标志着数字身份体系开始由自然人、法人逐步扩展至自主智能系统，是数字身份制度的一项重要创新探索。该提案依托成熟的国家数字身份基础设施，通过数字身份认证、数字签名和权限控制等机制，尝试建立AI智能体身份可信、行为可验证、责任可追溯的新型治理框架。

从密码应用角度看，数字身份是密码技术服务数字政府、数字经济和网络空间治理的重要载体。如何利用密码技术保障AI主体身份真实性、授权可信性和交互安全性，是未来数字身份体系建设的重要课题。爱沙尼亚此次探索虽然仍面临法律责任、跨境互认、数据保护等方面挑战，但其将密码支撑的数字身份体系延伸至AI主体的实践，为数字身份和人工智能融合治理提供了新的思路，后续立法进展及实施效果值得持续关注。

从国际数字治理发展趋势看，AI数字身份不仅关系AI系统身份认证，更涉及数字授权、责任追溯、数据安全以及密码技术应用等多个领域。未来，随着AI智能体广泛参与政府治理、数字经济和跨境服务，如何构建可信数字身份、实现权限最小化控制、保障全过程可验证和可审计，可能成为各国数字身份治理体系发展的重要方向。

编译：祝媛

审核：原浩 朱莉欣 方婷

完

作者编译观点仅代表个人

不代表密码法治实践创新基地

为方便排版，已略去脚注

声明：本文来自苏州信息安全法学所，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。